情報セキュリティマネジメント試験の令和7年度の公開問題(科目 A・B)を解こう。
今回のテーマは、「情報セキュリティ違反に対する懲戒手続」である。
令和7年度 情報セキュリティマネジメント試験 公開問題 科目 A・B 問8
問8 情報セキュリティ違反を犯した従業員に対する懲戒手続を規定した就業規則を含む社内規程の内容について、情報セキュリティ管理基準(平成 28 年)に基づき監査を実施した。監査人が、指摘事項として監査報告書に記載すべきものはどれか。
ア 従業員による情報セキュリティ違反の可能性を認識したら、直ちに懲戒手続を開始することを定めていた。
イ 懲戒手続は、情報セキュリティ違反による業務への影響度,違反を犯した従業員に対する教育の実施状況などを考慮した段階別の対応を定めていた。
ウ 懲戒手続は、情報セキュリティ違反を犯した従業員に対する恣意性を排除した公平な取扱いを定めていた。
エ 懲戒手続を具体化した細則を策定すること、及び従業員に周知徹底することを定めていた。
正解:ア
経済産業省が策定した「情報セキュリティ管理基準(平成28年改正版)」は、組織が情報セキュリティマネジメントシステム(ISMS)を構築し、適切に運用するための具体的な「ものさし」として作成されたものである。
この改正の背景には、国際規格(ISO/IEC 27001/27002)が2013年に大幅に改訂されたことがあり、それとの整合性をとりつつ、日本のビジネス環境での使いやすさを考慮して策定された。
※なお、直近では令和7年(2025年)8月に最新の改正版が公表されているが、平成28年版は長らく日本のセキュリティ基準の根幹を支えてきた重要なバージョンである。以下にその特徴と内容を解説する。
平成28年改正の主な背景と目的
- 国際規格との整合: ISO/IEC 27001:2013(JIS Q 27001:2014)の改訂に対応。
- 管理策の柔軟性向上: 以前の基準(平成20年版)に比べ、組織の規模や特性に合わせて、実施すべき管理策を柔軟に選択できるようになった。
- 監査制度の円滑化: 「情報セキュリティ監査制度」において、監査人が客観的に評価しやすいよう、管理項目が具体化された。
構成の特徴
平成28年版は、大きく分けて以下の2つのレベルで構成されている。
- マネジメント基準: 組織全体の管理体制(PDCAサイクル)をどう構築・維持するかを定めたもの。
- 管理策基準: 具体的なセキュリティ対策(パスワード管理、物理的な入退室、バックアップなど)の目録。
また、各項目には対応するISO 27001の条項番号が並記されており、国際標準との照らし合わせが容易になっている。
主な管理策の内容
管理策は、組織、人、物理、技術の各側面から網羅的に構成されている。
- 組織的管理: 資産の目録作成、利用の許容範囲、モバイルデバイスの管理など。
- 人的管理: 従業員の教育・訓練、退職時の情報の返却、違反時の懲戒手続きなど。
- 物理的管理: 執務エリアの入退室、機器の保守、重要情報のクリアデスク(机に放置しない)など。
- 技術的管理: アクセス制御、暗号化、ログ監視、マルウェア対策、ネットワークの分離など。
それでは、各肢を検討していこう。
ア 正解。
過剰な即時対応である。
イ 指摘事項にあたらない。
情報セキュリティ基準では、業務への影響度や教育の実施状況などの要素を考慮した段階別の対応を定めることが管理策として記載されている。
ウ 指摘事項にあたらない。
情報セキュリティ基準では、情報セキュリティ違反を犯した疑いをかけられた従業員に対する正確かつ公平な取扱いを含めることが管理策として記載されている。
エ 指摘事項にあたらない。
情報セキュリティ基準では、従業員が情報セキュリティ違反を起こすことを防ぐための抑止力として、懲戒手続きを使うことが管理策として記載されている。
(解法のポイント)
本問は常識でも解けたのではないだろうか。
「情報セキュリティ基準」(令和7年改正版)にもあたっておこう。
https://www.meti.go.jp/policy/netsecurity/is-kansa/IS_Management_Standard_R7.pdf
コメント